Web风险评估报告.docVIP

Web风险评估报告

PAGE\*Arabic1/NUMPAGES\*Arabic71

网站风险评估报告

——《信息安全工程》报告

课程名称信息安全工程

班级

专业信息安全

任课教师

学号

一、评估准备

1、安全评估目标

在项目评估阶段，为了充分了解SecurityTweets这个网站的安全系数，因此需要对SecurityTweets这个网站当前的重点服务器和web应用程序进行一次抽样扫描和安全弱点分析，对象为SecurityTweets全站，然后根据安全弱点扫描分析报告，作为提高SecurityTweets系统整体安全的重要参考依据之一。

2、安全评估范围

本小组将对如下系统进行安全评估：

采用linux系统的web服务器（IP地址：65）

采用nginx服务器程序的web站点

采用MySQL的数据库

3、安全评估团队

成员组成：

组员

姓名

班级

学号

使用工具：

1、AcunetixWebVulnerabilityScanner

2、BurpSuite

4、安全评估计划

1、此次针对网站的安全评估分为2个步骤进行。第一步利用现有的优秀安全评估软件来模拟攻击行为进行自动的探测安全隐患；第二步根据第一步得出的扫描结果进行分析由小组成员亲自进行手动检测，排除误报情况，查找扫描软件无法找到的安全漏洞。

2、第一步我们采用两种不同的渗透测试软件对网站做总体扫描。采用两种工具是因为这两个工具的侧重点不同，可以互为补充，使得分析更为精确。然后生成测试报告。

3、根据上一步生成的测试报告，由组员亲自手动验证报告的可信性。

4、根据安全扫描程序和人工分析结果写出这次安全评估的报告书。

二、风险因素评估

威胁分析

威胁分析概述

本次威胁分析是对一个德国的SecurityTweets网站进行的。威胁分析包括的具体内容有：威胁主体、威胁途径、威胁种类。

威胁来源

SecurityTweets网站是基于Internet体系结构建立，网络业务系统大都采用TCP/IP作为主要的网络通讯协议，其自身提供了各种各样的接口以供使用和维护，然而，这些接口同样可能向威胁主体提供了攻击的途径：

来源

描述

环境因素

断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障

人为因素

恶意人员

不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益

外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性进行破坏，以获取利益或炫耀能力

非恶意人员

内部人员由于缺乏责任心，或者由于不关心或不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击

威胁种类：

1.描述

这个脚本是可能容易受到跨站点脚本（XSS）攻击。

跨站点脚本（也被称为XSS）是一种漏洞，允许攻击者发送恶意代码（通常在Javascript中的形式）给其他用户。因为浏览器无法知道是否该脚本应该是可信与否，它会在用户上下文中，允许攻击者访问被浏览器保留的任何Cookie或会话令牌执行脚本。

虽然传统的跨站点脚本漏洞发生在服务器端的代码，文档对象模型的跨站点脚本是一种类型的漏洞会影响脚本代码在客户端的浏览器。

2.描述

基于堆的缓冲区溢出在nginx1.3.15的SPDY执行1.4.7和1.5.x版本1.5.12之前之前允许远程攻击者通过特制的请求执行任意代码。该问题影响的ngx_http_spdy_module模块（默认情况下不编译），并编译nginx的-与调试配置选项，如果“听”指令的“SPDY”选项用于在配置文件中。

3．描述

您使用的是脆弱的Javascript库。一个或多个漏洞报告这个版本的JavaScript库。咨询攻击细节和Web引用有关受影响的库，并进行了报道，该漏洞的详细信息。

4.描述

XML支持被称为“外部实体”，它指示XML处理器来检索和执行内嵌的设施包括XML位于特定URI的。一个外部XML实体可以用来追加或修改与XML文档相关联的文档类型定义（DTD）。外部XML实体也可以用于对XML文档的内容中包含的XML。

现在假设XML处理器解析数据从下攻击者控制的一个光源发出。大多数时候，处理器将不会被确认，但它可能包括替换文本从而引发意想不到的文件